研究者詳細 - 永藤　直行

写真a

ナガトウ　ナオユキ

永藤　直行

NAGATOU NAOYUKI

所属

情報基盤センターマネジメント准教授

外部リンク

研究分野

情報通信 / ソフトウェア

論文

A MODEL-CHECKING BASED APPROACH TO ROBUSTNESS ANALYSIS OF PROCEDURES UNDER HUMAN-MADE FAULTS 査読

Naoyuki Nagatou, Takuo Watanabe

INTERNATIONAL JOURNAL OF INDUSTRIAL ENGINEERING-THEORY APPLICATIONS AND PRACTICE 22 ( 4 ) 494 - 508 2015年

　詳細を見る

記述言語：英語掲載種別：研究論文（学術雑誌）出版者・発行元：UNIV CINCINNATI INDUSTRIAL ENGINEERING

A model-checking approach to analyze the robustness of procedures that suffer from human-made faults is proposed. Many procedures executed by humans incorporate fault detection and recovery tasks to recover from human-made faults. Examining whether such recovery tasks work as expected is crucial to preserve the trust and reliability inherent in safety-critical domains. To achieve this, we have employed a fault-injection method that injects a set of human-made faults into a fault-free model for a given procedure. This fault set is selected according to Swain's discrete action classification. The proposed approach uses a model checker to determine paths to error states within the model, and its properties are formalized via calculus of communicating systems and linear temporal logic. The effectiveness of the proposed method is demonstrated by investigating the recoverability of a real-world procedure.

Web of Science

researchmap
A model-checking based approach to robustness analysis of procedures under human-made faults

Naoyuki Nagatou, Takuo Watanabe

International Journal of Industrial Engineering : Theory Applications and Practice 22 ( 4 ) 494 - 508 2015年

　詳細を見る

記述言語：英語掲載種別：研究論文（学術雑誌）出版者・発行元：University of Cincinnati

A model-checking approach to analyze the robustness of procedures that suffer from human-made faults is proposed. Many procedures executed by humans incorporate fault detection and recovery tasks to recover from human-made faults. Examining whether such recovery tasks work as expected is crucial to preserve the trust and reliability inherent in safety-critical domains. To achieve this, we have employed a fault-injection method that injects a set of human-made faults into a fault-free model for a given procedure. This fault set is selected according to Swain's discrete action classification. The proposed approach uses a model checker to determine paths to error states within the model, and its properties are formalized via calculus of communicating systems and linear temporal logic. The effectiveness of the proposed method is demonstrated by investigating the recoverability of a real-world procedure.

Scopus

researchmap
A model-checking based approach to robustness analysis of procedures under human-made faults 査読

Naoyuki Nagatou, Takuo Watanabe

Lecture Notes in Business Information Processing 181 117 - 131 2014年

　詳細を見る

記述言語：英語掲載種別：研究論文（国際会議プロシーディングス）出版者・発行元：Springer Verlag

We propose a model-checking approach for analyzing the robustness of procedures that suffer from human-made faults. Many procedures executed by humans incorporate fault detection and recovery tasks to recover from human-made faults. Examining whether such recovery tasks work as expected is crucial for preserving the trust and reliability inherent in safety-critical domains. To achieve this, we used a type of fault-injection method that injects a set of human-made faults into a fault-free model of a given procedure
the fault set is selected according to Swain's discrete action classification. We use a model checker to determine paths to error states within the model and its properties formalized via CCS and LTL. We show the effectiveness of our method by investigating the recoverability of a real-world procedure. © Springer International Publishing Switzerland 2014.

DOI： 10.1007/978-3-319-08222-6

Scopus

researchmap
ヒューマンエラーに対する手順書の耐性検査 (知能ソフトウェア工学)

永藤直行, 渡部卓雄

電子情報通信学会技術研究報告 = IEICE technical report : 信学技報 113 ( 71 ) 61 - 66 2013年5月

　詳細を見る

記述言語：日本語出版者・発行元：電子情報通信学会

researchmap
Revisiting Enforceable Security Policies 査読

Naoyuki Nagatou

CRISIS: 2008 THIRD INTERNATIONAL CONFERENCE ON RISKS AND SECURITY OF INTERNET AND SYSTEMS, PROCEEDINGS 227 - 234 2008年

　詳細を見る

記述言語：英語掲載種別：研究論文（国際会議プロシーディングス）出版者・発行元：IEEE

We algebraically characterize a class of enforceable security policies that by execution monitoring using a modal logic. We regard monitors as processes in Milner's CCS and security policies as formulas in the modal logic. We show that a set of processes occurring in a monitor must be within the greatest fixed point for the formula, following Schneider's definition on execution monitors. We also consider monitors that can derive some sequences from a single captured action sequence. To discuss such monitors, we introduce variables ranging over sets of processes in CCS. We then show that there is fixed points under the extension. This work may help its to understand such monitors to detect covert channels at run time and to analyze safety properties for multithreads, which need to examine multiple paths.

DOI： 10.1109/CRISIS.2008.4757483

Web of Science

researchmap
Run-time detection of covert channels 査読

Naoyuki Nagatou, Takuo Watanabe

FIRST INTERNATIONAL CONFERENCE ON AVAILABILITY, RELIABILITY AND SECURITY, PROCEEDINGS 577 - + 2006年

　詳細を見る

記述言語：英語掲載種別：研究論文（国際会議プロシーディングス）出版者・発行元：IEEE COMPUTER SOC

The authors are interested in the characterization of policies which are enforced by execution monitoring mechanisms with an extra structure that is an extension of Schneider's enforcement mechanism. This paper is a starting point for continuing in this area. We use an emulator as the extra structure, which emulates the behavior of a system by running a subsequence from an interleaved state sequence of processes, in order to detect several covert channels at run time. We then define a security automaton for this extended mechanism and show a class of properties which is enforced by the security automaton. Further, our mechanism can enforce information flow policies, which are specified by system developers, under an information flow property to be defined for the aim of this study. We show that the information flow property include O'Halloran's Noninference. In the last of this paper, we give a simple example for the policy and an outline of our mechanism.

DOI： 10.1109/ARES.2006.114

Web of Science

researchmap
プログラム解析から得られる情報を用いた実行監視について

永藤直行, 渡部卓雄

日本ソフトウェア科学会大会講演論文集 21 67 - 67 2004年

　詳細を見る

出版者・発行元：日本ソフトウェア科学会

実行監視とは、プログラムの各実行ステッぷを観測し、それがセキュリティーポリシに違反するときにはそのプログラムを停止させるなどしてポリシに違反しないことを保障する機構の総称である。実行監視によって強制されるポリシのクラスは安全性であることが知られている。我々は、プログラムから得られる情報をもちいて強制可能なポリシのクラスについて議論する。本稿では、特に機密性と上限つき可用性について議論する。

DOI： 10.11309/jssstconference.21.0.67.0

researchmap
Specifying context-aware runtime security policies using an algebraic policy specification language 査読

T Watanabe, K Yamada, N Nagatou

PROCEEDINGS OF THE IASTED INTERNATIONAL CONFERENCE ON SOFTWARE ENGINEERING 662 - 667 2004年

　詳細を見る

記述言語：英語掲載種別：研究論文（国際会議プロシーディングス）出版者・発行元：ACTA PRESS

This paper reports our ongoing work towards a novel secure execution scheme of mobile objects that are especially utilized to extend, reconfigure or maintain a dynamically extensible and/or context-aware systems. The overall motivation is to develop a security architecture that protects the systems and the privacy of their users from potentially malicious mobile objects. Our security architecture, called Taurus-1, adopts monitored execution as a basic security enforcement mechanism. To describe security policies we designed an algebraic policy description language Polaris, in which we can specify a policy as a collection of hierarchically described process modules. We show how Taurus-1 can provide a security enhancement mechanism for such extensible and/or context-aware systems and then discuss how to specify security policies for them.

Web of Science

researchmap
Towards a specification scheme for context-aware security policies for networked appliances 査読

T Watanabe, K Yamada, N Nagatou

WSTFES 2003: IEEE WORKSHOP ON SOFTWARE TECHNOLOGIES FOR FUTURE EMBEDDED SYSTEMS, PROCEEDINGS 65 - 68 2003年

　詳細を見る

記述言語：英語掲載種別：研究論文（国際会議プロシーディングス）出版者・発行元：IEEE COMPUTER SOC

This paper describes a secure execution scheme for mobile programs running in networked appliances. The potential threat we are considering is the malicious behaviour of the mobile programs. Our security architecture, called Taurus-1, adopts monitored execution as a basic mechanism for enforcing security policies at runtime. To describe a policy for this architecture, we designed an algebraic policy description language Polaris, in which we can specify a policy as a process consists of abstract events in a monitored program. The program is modified beforehand for effective detection of its malicious behaviour We discuss how Taurus-1 can provide a security enhancement mechanism for context-aware systems such as networked appliances, and discuss how to specify security policies for them.

DOI： 10.1109/WSTFES.2003.1201363

Web of Science

researchmap

▼全件表示

MISC

人為的欠陥の意味と耐性解析

永藤直行, 渡部卓雄

日本ソフトウェア科学会大会論文集 30 633 - 640 2013年9月

　詳細を見る

記述言語：日本語出版者・発行元：[日本ソフトウェア科学会]

CiNii Books

researchmap
不干渉性の強制について

永藤直行, 渡部卓雄

情報処理学会研究報告. CSEC, [コンピュータセキュリティ] 2006 ( 81 ) 207 - 214 2006年7月

　詳細を見る

記述言語：日本語出版者・発行元：社団法人情報処理学会

モニタにより強制可能なセキュリティーポリシの特徴について議論する.ここでいうモニタとはプログラムの振舞を監視し,もしそれがポリシに違反するときにはそのプログラムを強制的に停止することによりポリシを強制する強制機構のことである.もちろん,このような強制機構ではすべてのポリシが強制可能であるわけではない.なぜなら,モニタはプログラムの有限の振舞しか観測できず,未来の情報を利用することが出来ないからである.F.B.Schneiderはこのような特徴をもつポリシはLamportの安全性の特徴を充たすことを示した.また,そのような安全性を受理するようなオートマトンが存在し,それをセキュリティーオートマトンと呼んでいる.さらに,我々はモニタは単にプログラムの振舞を観測するだけでなくもっと多くの情報を利用できると考える.そのとき,ポリシがどのような特徴を持つか明らかにすることを試みる.これまでに,観測した有限の振舞の部分的な振舞を利用することにより情

researchmap
不干渉性の強制について

永藤直行, 渡部卓雄

電子情報通信学会技術研究報告. SITE, 技術と社会・倫理 106 ( 174 ) 207 - 214 2006年7月

　詳細を見る

記述言語：日本語出版者・発行元：社団法人電子情報通信学会

モニタにより強制可能なセキュリティーポリシの特徴について議論する.ここでいうモニタとはプログラムの振舞を監視し,もしそれがポリシに違反するときにはそのプログラムを強制的に停止することによりポリシを強制する強制機構のことである.もちろん,このような強制機構ではすべてのポリシが強制可能であるわけではない.なぜなら,モニタはプログラムの有限の振舞しか観測できず,未来の情報を利用することが出来ないからである.F.B.Schneiderはこのような特徴をもつポリシはLamportの安全性の特徴を充たすことを示した.また,そのような安全性を受理するようなオートマトンが存在し,それをセキュリティーオートマトンと呼んでいる.さらに,我々はモニタは単にプログラムの振舞を観測するだけでなくもっと多くの情報を利用できると考える.そのとき,ポリシがどのような特徴を持つか明らかにすることを試みる.これまでに,観測した有限の振舞の部分的な振舞を利用することにより情

researchmap
ロード時バイナリ変換によるセキュリティ強制方式

渡部卓雄, 永藤直行, 山田聖

情報処理学会論文誌プログラミング（PRO） 43 ( 3 ) 94 - 94 2002年3月

　詳細を見る

記述言語：日本語出版者・発行元：一般社団法人情報処理学会

柔軟な分散計算システムを構築するための便利な抽象化機構としてさまざまな形態の異動コードが注目されてきた．固定的なネットワークシステムから移動・遍在計算機環境へとシフトするうえで，移動コードの重要性が増している．しかし，実際の応用システムで移動コードを採用するうえで，解決しなければならないセキュリティ上の問題はまだ多い．さらに，移動コードを用いてシステムを構成するためには，コードの移動がひきおこすさまざまな変化に対処できる必要がある．そしてセキュリティモデルもそのために拡張可能（あるいは適応的）である必要があり，さらにそういったセキュリティモデルのためのポリシー記述はむずかしい．今回の発表では，まずアプリケーション依存のセキュリティポリシーについて述べ，次にそういったポリシーを強制する方法の提案について説明する．対象とする移動コードは，ここではJava クラスファイルとする．我々の方式は，主としてロード時のバイトコード変換によって監視付き実行を行うコードを挿入するものであるが，そのためのポリシーをPolaris という特別な言語によって記述する．Polaris は基本的には有限状態プロセス言語であるが，変数間のデータ依存関係を扱えるようになっている．これによって監視のコストを抑えることができる．記述の具体例として，我々が構築しつつある拡張可能メールクライアントの一部を示す．Mobile code has been regarded as a convenient abstraction mechanism to construct flexi-ble/evolvable distributed computing systems. It has now gained prominence, mainly due to the current shift from stationary to mobile/ubiquitous computing environment. Although de-signing a system using mobile code is appealing, its deployment is still a security risk. Further, a system using mobile code is inherently dynamic; we need an extensible/adaptable security model. In this talk, we first claim that application-dependent and special-purpose security policies are increasingly important especially for modern distributed computing environment. Then we present a set of techniques that may be used to enforce such policies on mobile objects (Java classes). The main technique is a load-time bytecode modification that enforces user-defined policies via monitored execution. The policies are written in a language called Polaris, which is basically a finite process language enhanced to deal with data-dependencies among variables. Use of data-dependencies reduced the cost of monitoring. As an example, we show a code portion from our extensible e-mail client system.

CiNii Books

researchmap

共同研究・競争的資金等の研究課題

‐

その他の研究制度

　詳細を見る

資金種別：競争的資金

researchmap
-

The Other Research Programs

　詳細を見る

資金種別：競争的資金

researchmap